Datenschutzgrundverordnung (DS-GVO) Was ändert sich für Sie?
Am 25.05.2018 tritt die Datenschutzgrundverordnung europaweit in Kraft. Dem vorausgegangen ist eine zweijährige Karenzzeit um den Unternehmen die Anpassung an die neue Verordnung zu ermöglichen.
So weit, so gut, doch was genau ist denn nun diese Datenschutzgrundverordnung?
Kurz gesagt, die DS-GVO ist die umfangreichste Neuerung im Bereich des Datenschutzes die es jemals gab. Aufgeteilt in 99 Artikel und 173 dazugehörige Erwägungsgründe regelt sie umfassend wie persönliche Daten innerhalb der EU zu schützen sind und was im Falle des Verstoßes gegen die Regelungen als Strafe droht.
Die DS-GVO ist als EU-Verordnung im Gegensatz zur EU-Richtlinie für alle europäischen Staaten direkt verbindlich, d.h. sie muss nicht erst durch die jeweiligen Länder in nationales Recht umgesetzt werden, sondern greift unmittelbar. Dies bedeutet, egal wo in der EU ab dem 25.05.2018 Daten erhoben werden, die Regelungen der DS-GVO sind einzuhalten. Auch außereuropäische Unternehmen sind an die Verordnung gebunden, sofern sie innerhalb der EU die Daten sammeln oder verarbeiten.
Was bedeutet die neue Regelung für mich als Privatperson?
- Private Daten dürfen nur noch mit erteilter Einwilligung „verarbeitet“ werden.
Verarbeiten bedeutet in diesem Zusammenhang „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ (siehe Art. 4 Nr. 2 DS-GVO). - Sie müssen ein wenig mehr mitarbeiten
Im Endeffekt heißt dies nichts anderes als das Sie zur Verarbeitung personenbezogener Daten Ihre Zustimmung geben müssen – und genau da ist der Knackpunkt: Sie müssen Ihre Zustimmung geben, sonst darf man (z.B. wir als Makler) die Daten nicht nutzen und können nicht für Sie tätig werden. Im Endeffekt wird man also demnächst nur zwei Möglichkeiten haben, der Verarbeitung der personenbezogenen Daten Zustimmen, oder eben nicht mit dem betreffenden Unternehmen zusammenarbeiten/deren Dienste in Anspruch nehmen können. Durch den empfindlichen Strafen Katalog bei Verstößen: Bis zu 20 Mio. Euro oder 4% des globalen Jahresumsatzes – je nachdem was höher ist, wird es sich kein Unternehmen mehr erlauben können diese Abfragen durchzuführen. -
- Verarbeitungszwecke,
- Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.),
- Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
- geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
- Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung,
- Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
- Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde,
- Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die da-bei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.Umfangreiche Auskunftsrechte
Ab dem 25.05.2018 haben Sie gem. Art. 15 Abs. 1 das Recht bei einem Unternehmen Auskunft zu verlangen ob dieses personenbezogene Daten von Ihnen verarbeitet hat. Tut es dies nicht muss es eine negative Antwort abgeben (mit anderen Worten eine Antwort ist immer Pflicht). Sollte es Daten von Ihnen verarbeitet haben muss Ihnen das Unternehmen innerhalb eines Monats folgende Angaben machen:
- Recht auf Löschung und Vergessenwerden
Jeder hat das Recht seine gespeicherten Daten löschen zu lassen – sofern nicht andere Vorschriften dagegenstehen (beispielsweise gibt es verschiedene Vorschriften nach dem Geldwäschegesetz, welche die Unternehmen verpflichten, manche Daten über einen gewissen Zeitraum zu speichern).Nach Art. 17 Abs. 1 DS-GVO kann die Löschpflicht durch ausdrückliches Erklären des Betroffenen ausgelöst werden, oder unter bestimmten Voraussetzungen auch ohne Verlangen der betroffenen Person (welche Voraussetzungen dies sind siehe Ar. 17 Abs. 1 Ziff. a-f).Weitreichender ist das Recht auf Vergessenwerden gem. Ar. 17 Abs. 2 DS-GVO: Dieses Recht besagt, dass man die Tilgung von allen Spuren personenbezogener Daten durch denjenigen Verlangen kann, welcher Sie in Umlauf gebracht hat. Dies bedeutet er muss – eingeschränkt durch die technische Machbarkeit und der Implementierungskosten – alle angemessenen Maßnahmen treffen um andere, welche die Daten auch verbreiten zu informieren, dass deren Löschung beantragt wurde. Dieses Recht hakt an zwei Punkten: Erstens ist in den meisten Fällen nicht mehr nachvollziehbar wer der erste war, welcher die Daten öffentlich gemacht hat. Man kann also keinen „Verursacher“ ausfindig machen. Zweitens: Selbst wenn man einen Verursacher ausmachen kann und dieser sich redlich bemüht jeden zu informieren der die Daten nutzt dürfte es, zumindest bei im Internet veröffentlichten Daten, ein Ding der Unmöglichkeit sein alle Nutzer zu finden – Stichwort: „Das Internet vergisst nie!“ (und wer weiß ob die diese Daten dann auch löschen – welche Motivation hätte schon ein z.B. in Asien beheimateter Privatmann dies zu tun?).Die gesamte Datenschutzgrundverordnung ist natürlich noch um einiges umfangreicher und enthält weitere Ge- und Verbote im Umgang mit personenbezogenen Daten. Von der Verarbeitung von Mitarbeiterdaten über die Protokollierung sämtlicher Vorgänge bis hin zu strengeren Vorschriften im Bezug auf den digitalen und tatsächlichen Schutz gespeicherter Daten gegen unbefugten Zugriff.
Alles in allem ein Schritt in die richtige Richtung, wenn auch mit sehr viel Aufwand gerade für kleine und mittelständische Unternehmen verbunden. Der Verbraucher wird sich darauf einstellen müssen demnächst mehrfach seine Einwilligung zu erteilen wenn er die Dienste einer Firma in Anspruch nehmen will. Dies wird zu Kopfschütteln führen, vielfach auch zur Verärgerung ob der lästigen Bestätigungen und Einwilligungserklärungen – lässt sich aber nicht ändern will man gesetzestreu arbeiten.